LAPS управление на паролата за локални администратори на компютри с домейни (Active Directory)

В тази статия ще разгледаме начин за управление на паролите за локален администратор на компютри с домейн с помощта на официалната помощна програма на Microsoft - LAPS (Локално решение за администраторска парола).

Проблемът с управлението на вградени акаунти на компютри с домейни е един от най-важните аспекти на сигурността, изискващ вниманието на системен администратор. Разбира се, не трябва да разрешавате използването на едни и същи пароли на локални администратори на всички компютри. Има много подходи за организиране на управлението на акаунти на локални администратори в даден домейн: като се започне от пълното им прекъсване (не е много удобно), до тяхното управление чрез скриптове за влизане в групови политики и създаване на собствени системи за управление на вградени акаунти и техните пароли.

Преди това разширенията за групови политики (GPP) често се използваха за промяна на паролите на локалните администратори на компютрите с домейни, но в тях беше открита сериозна уязвимост, която позволи на всеки потребител да декриптира паролата, съхранявана в текстов файл в директорията Sysvol на контролерите на домейни (за това ние те говориха подробно в статията Защо паролите не трябва да се задават чрез предпочитания за групови правила). През май 2014 г. Microsoft пусна актуализация на защитата (MS14-025 - KB 2962486), която напълно деактивира възможността за задаване на локална потребителска парола чрез GPP.

Съдържание:

LAPS Utility - Локално администраторско решение за парола
Подготовка на схема на Active Directory за внедряване на LAPS
Задаване на права в AD за атрибутите LAPS
Предоставяне на права за преглед на паролата LAPS
Конфигурирайте груповата политика на LAPS
Инсталирайте LAPS на клиентски компютри чрез GPO
Използване на програма LAPS за преглед на администраторска парола

LAPS Utility - Локално администраторско решение за парола

Важно е. Преди това се наричаше LAPS AdmPwd, но през 2015 г. Microsoft обяви LAPS, като го премества от секцията за скриптове на трети страни в официално поддържано решение.

полезност LAPS (Local администратор парола разтвор) позволява централизирано управление на администраторски пароли на всички компютри в домейна и съхранява информация за паролата и датата на нейната промяна директно в компютърни обекти в Active Directory.

LAPS функционалността се основава на използването на специална GPO функционалност, която се основава на група политика клиент страна разширение (ПТ) и е малък модул, който е инсталиран на работни станции. Това разширение за GPO се използва за генериране на уникална локална парола за администратор (SID - 500) на всеки компютър с домейн. Паролата на администратора се променя автоматично с определената честота (по подразбиране на всеки 30 дни). Стойността на текущата парола се съхранява в поверителен атрибут на компютърния акаунт в Active Directory, достъпът за преглед на съдържанието на атрибута се регулира от групите за сигурност на AD.

Можете да изтеглите LAPS и неговата документация от тази страница: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Разпределението LAPS е достъпно в две версии на msi инсталационни файлове: за 32 (LAPS.х86.msi) и 64 (LAPS.х64.msi) битови системи.

LAPS архитектурата се състои от 2 части. Контролният модул е инсталиран на машината на администратора, а клиентската част е инсталирана на сървъри и персонални компютри, на които е необходимо редовно да променяте паролата на локалния администратор.

съвет. Преди да разгърнете LAPS в продуктивен домейн, препоръчваме да го опитате в тестова среда, като Като минимум е необходимо разширение на схемата на AD (необратимо).

Стартирайте файла с помощната програма MSI на компютъра на администратора, изберете всички компоненти за инсталиране (изисква се поне .Net Framework 4.0 - Как да разберете кои версии на .Net са инсталирани). Пакетът се състои от две части:

Разширение за GPO AdmPwd -Изпълнима част от LAPS, която е инсталирана на клиентски компютри и генерира, записва парола в домейн в съответствие с конфигурирана политика;
и контролни компоненти LAPS (Инструменти за управление):
- Fat client UI - помощна програма за преглед на администраторската парола;
- PowerShell модул - PowerShell модул за управление на LAPS;
- Шаблони за редактор на GPO - административни шаблони за редактор на групови политики.

Инсталирането на LAPS е възможно най-просто и не трябва да създава проблеми..

Подготовка на схема на Active Directory за внедряване на LAPS

Преди да разгърнете LAPS, трябва да разширите схемата на Active Directory, към която ще бъдат добавени два нови атрибута за обекти от компютърен тип..

мс-MCS-AdmPwd- атрибутът съдържа локална парола на администратора с ясен текст;
мс-MCS-AdmPwdExpirationTime - съхранява датата на изтичане на паролата на компютър.

За да разширите схемата, трябва да отворите конзолата PowerShell, да импортирате модула Admpwd.ps:

Импорт-модул AdmPwd.ps

Разширете схемата на Active Directory (имате нужда от права за администриране на схемата):

Актуализация-AdmPwdADSchema

В резултат на това в клас "Компютър" ще бъдат добавени два нови атрибута.

Задаване на права в AD за атрибутите LAPS

LAPS съхранява паролата за локален администратор в атрибута Active Directory MS-MCS-AdmPwd в ясен текст, достъпът до атрибута е ограничен от поверителния атрибутен механизъм на AD (поддържа се от Windows 2003). Атрибутът ms-MCS-AdmPwd, в който се съхранява паролата, може да бъде прочетен от всеки с разрешение „всички продължен права". Потребителите и групите с това разрешение могат да четат всякакви поверителни AD атрибути, включително ms-MCS-AdmPwd. защото не искаме някой друг освен администраторите на домейни (или HelpDesk услуги) да има право да вижда пароли за компютри, трябва да ограничим списъка на групи с разрешения за четене до тези атрибути.

Използвайки командлета Find-AdmPwdExtendedRights, можете да получите списък с акаунти и групи, които имат това право на конкретна ОУ. Проверете кой има подобни OU разрешения с името Desktops:

Find-AdmPwdExtendedRights -Identity Настолни компютри | Формат-таблица ExtendedRightHolders

Както можете да видите, само групата има право да чете поверителни атрибути домейн Администратори.

Ако трябва да откажете на определени групи или потребители да четат такива атрибути, трябва да направите следното:

Отворете ADSIEdit и се свържете с контекста на именуване по подразбиране;
Разширете AD дървото, намерете OU, което ви е необходимо (в нашия пример за настолни компютри), щракнете с десния бутон върху него и изберете Имоти;
Отидете в раздела сигурност, натиснете бутона Разширено -> Добавяне. В раздела Изберете главница посочете името на групата / потребителя, за които искате да ограничите правата (например домейн \ Поддръжка екип);
Премахнете отметката от правото на „Всички разширени права“ и запазете промените..

По същия начин трябва да направите и с всички групи, които трябва да забранят правото да виждат паролата.

съвет. Ограничете разрешенията за четене на всички OU, чиито компютърни пароли ще бъдат контролирани от LAPS.

След това трябва да предоставите права на компютърни акаунти, за да модифицирате собствените си атрибути (SELF), защото промяна на стойностите на атрибутите ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime се извършва от под компютърния акаунт. Ще използваме още един командлет комплект-AdmPwdComputerSelfPermission.

За да дадете на компютрите в OU Desktops разрешение да актуализират разширени атрибути, изпълнете командата:

Set-AdmPwdComputerSelfPermission -OrgUnit Desktop

Новите атрибути на LAPS на компютрите по подразбиране не се репликират към контролери на домейни RODC.

Предоставяне на права за преглед на паролата LAPS

Следващата стъпка е да се предоставят права на потребителите и групите да четат паролите на локалните администратори, съхранявани в Active Directory на компютри с домейн. Например, искате да дадете на членовете на групата AdmPwd право да четат компютърни пароли в OU:

Set-AdmPwdReadPasswordPermission -OrgUnit Desktop -AllowedPrincipals AdmPwd

Освен това можете да дадете право на отделна група потребители да нулират паролата на компютъра (в нашия пример даваме това право на същата група AdmPwd).

Set-AdmPwdResetPasswordPermission -OrgUnit Desktop -AllowedPrincipals AdmPwd

Конфигурирайте груповата политика на LAPS

След това трябва да създадете нов обект за GPO (групова политика) и да го присвоите на OU, който съдържа компютри, на които ще управлявате паролите на администратора.

За по-лесно управление можете да копирате файловете с административни шаблони на LAPS (% WINDIR% \ PolicyDefinitions \ AdmPwd.admx и% WINDIR% \ PolicyDefinitions \ en-US \ AdmPwd.adml) в централното хранилище на GPO - \\winitpro.RU\ Sysvol\ Политики\ Определяне на политика.

Създайте политика, наречена Password_Administrador_Local със следната команда:

Регистрация-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local
В конзолата за управление на политики за домейни (gpmc.msc) отворете тази политика за редактиране и отидете на секцията за GPO :: Конфигурация на компютъра -> Административни шаблони -> LAPS.

Както можете да видите, има 4 настройки за персонализирани правила. Конфигурирайте ги по следния начин:

Активирайте локалното управление на паролата на администратора: Enabled (активирайте политиката за управление на пароли LAPS);
Настройки за парола: Enabled - сложността на паролата е зададена в политиката, нейната дължина и честота на промяна (подобно на политиките на домейна за потребителски пароли);
- Сложността: Големи букви, малки букви, цифри, специални
- Дължина: 12 знака
- Възраст: 30 дни
Име на администраторския акаунт за управление: Не се конфигурира (Това е името на администраторския акаунт, чиято парола ще се промени. По подразбиране се променя паролата за вградения администратор със SID-500);
Не позволявайте времето за изтичане на паролата по-дълго от изискваното в правилата: Enabled

Присвойте парола_Administrador_Local политика за OU с компютри (Настолни компютри).

Инсталирайте LAPS на клиентски компютри чрез GPO

След като настроите GPO, трябва да инсталирате клиентската част LAPS на компютри в домейна. Можете да инсталирате клиента LAPS по различни начини: ръчно, чрез SCCM задача, скрипт за влизане и т.н. В нашия пример ще инсталираме файла msi, като използваме възможността да инсталираме пакети msi чрез групови политики (GPSI).

Създайте споделена папка в мрежовата директория (или в папката SYSVOL на контролера на домейна), в която искате да копирате msi файловете на разпределението LAPS;
Създайте нов GPO и под Конфигурация на компютъра -> Политики -> Настройки на софтуера -> Инсталиране на софтуер създайте задача за инсталиране на MSI LAPS пакета.

Моля, обърнете внимание, че има x86 и x64 версии на LAPS за Windows със съответните битови дълбочини. За да направите това, можете да направите две отделни политики за LAPS с WMI GPO филтри за x86 и x64 издания на Windows.

Остава да зададете политиката на желания OU и след рестартиране клиентът LAPS трябва да бъде инсталиран на всички компютри в целевия OU.

Проверете дали записа „Решение за локално администриране на парола за управление“ се появява в списъка с инсталирани програми в Контролния панел (Програми и функции).

Когато помощната програма LAPS промени паролата на локалния администратор, запис на това се записва в дневника на приложението (идентификатор на събитието: 12, източник: AdmPwd).

Събитието за запазване на паролата в атрибута AD също се записва (ID на събитието: 13, Източник: AdmPwd).

Ето как изглеждат новите компютърни атрибути в AD.

съвет. Времето за изтичане на паролата се съхранява във формат "Win32 FILETIME", можете да го преобразувате в нормалната му форма, например, като тази.

Използване на програма LAPS за преглед на администраторска парола

Графичната помощна програма за AdmPwd UI за гледане на пароли LAPS трябва да бъде инсталирана на компютрите на администратора.

Стартирайте помощната програма, въведете името на компютъра (в полето име на компютъра) и трябва да видите текущата парола на локалния компютърен администратор и датата на изтичане.

Датата на изтичане на паролата може да бъде зададена ръчно или можете да оставите полето за дата празно и да натиснете бутона Set (това означава, че паролата е изтекла).

Паролата може да бъде получена и с помощта на PowerShell:

Импорт-модул AdmPwd.PS Get-AdmPwdPassword -ComputerName

Ако смятате, че паролите на локалните администратори на всички компютри в определен ОУ са компрометирани, можете да генерирате нови пароли за всички компютри в ОУ с една команда. За целта се нуждаем от командлета Get-ADComputer:

Get-ADComputer -Filter * -SearchBase „OU = Компютри, DC = MSK, DC = winitpro, DC = bg“ | Reset-AdmPwdPassword -ComputerName $ _. Име

По същия начин можете да изброите текущите пароли за всички компютри в ОУ:

Get-ADComputer -Filter * -SearchBase „OU = Компютри, DC = MSK, DC = winitpro, DC = bg“ | Get-AdmPwdPassword -ComputerName $ _. Име

LAPS може да се препоръча като удобно решение за организиране на защитена система за управление на пароли на компютри с домейни с гранулиран контрол на достъпа до пароли за компютри от различни ОУ. Паролите се съхраняват в атрибутите на Active Directory с ясен текст, но вградените AD инструменти могат надеждно да ограничат достъпа до тях..

Препоръчваме ви също да прочетете статията Защита на администраторските акаунти в Windows мрежа.